beim Benutzen von Firefox: IE & Firefox Werbung

#1 Hallo Allerseits!

Ich habe seit kurzem ein Problem mit dem Firefox:

Wenn ich diesen Browser starte, dann öffnet sich zu allererst ein Popup vom IE, mit irgendeiner Werbung.
Während der Benutzung vom Firefox öffnet sich dann alle paar Minuten ein neuer Tab (im Firefox) wo auf Spyware hingewiesen wird und ähnliches...

Als Virenprogramm habe ich Avast!, aber sowohl das Virenprogramm als auch Adaware von Lavasoft haben nichts vernünftiges reissen können.

Hier meine hijackthis Log, wobei ich da auch nicht wirklich was finden kann:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 11:35:43, on 05.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\LogMeIn\RaMaint.exe
C:\Programme\LogMeIn\LogMeIn.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\LogMeIn\LogMeInSystray.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Process Explorer\procexp.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Eigene Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Sebastians Explorer
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\LogMeInSystray.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Process Explorer.lnk = C:\Programme\Process Explorer\procexp.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172508376734
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BFEACE1-5B46-4A10-9519-14B393D0590D}: NameServer = 192.168.100.50
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programme\LogMeIn\LogMeIn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Ich hoffe ihr könnt mir weiterhelfen, danke!

Mfg Demidrin

P.S.:
Es kann sein, dass sich das Problem gelöst hat:
Ich hatte eben bei der hijackthis Log, 5 Einträge mit dem Link go.microsoft.irgendwas korrigiert, obwohl sie in der automatischen Log als gut gekenntzeichnet waren. Bis jetzt hat sich weder beim Starten von Firefox noch beim längeren Arbeiten mit dem Browser was gerührt... Ein gutes Zeichen? Ich warte mal ab...

P.P.S.: Fehlanzeige, leider fing es nach ner halben Stunde wieder an...

#2 Demidrin

«
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

«
Combofix - Textdatei im Thead posten
http://virus-protect.org/artikel/tools/combofix.html

«
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 "Sebastian" - 07-04-06 11:20:32 Service Pack 2
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Eigene Downloads"


((((((((((((((((((((((((((((((( Files Created from 2007-03-06 to 2007-04-06 ))))))))))))))))))))))))))))))))))


2007-04-06 10:10 511,238 ---hs---- C:\WINDOWS\system32\rtutv.bak2
2007-04-06 10:10 123,972 --a------ C:\WINDOWS\system32\dkfyyhwt.dll
2007-04-05 14:59 <DIR> d-------- C:\Programme\ClearProg
2007-04-05 12:28 <DIR> d-------- C:\Programme\Azureus
2007-04-05 10:10 502,651 ---hs---- C:\WINDOWS\system32\rtutv.bak1
2007-04-05 10:09 280,676 ---hs---- C:\WINDOWS\system32\vtutr.dll
2007-04-05 10:09 280,676 ---hs---- C:\WINDOWS\system32\vtsqo.dll
2007-04-05 10:01 26,694 --a------ C:\WINDOWS\system32\jkklkjj.dll
2007-04-05 10:00 26,694 --a------ C:\WINDOWS\system32\rqrsstt.dll
2007-04-05 10:00 26,694 --a------ C:\WINDOWS\system32\mljihif.dll
2007-04-05 09:58 26,694 --a------ C:\WINDOWS\system32\byxutsq.dll
2007-04-01 21:50 <DIR> d-------- C:\Programme\FlashGet
2007-03-28 12:35 <DIR> d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\Media Player Classic
2007-03-27 14:27 <DIR> d-------- C:\Programme\Real Alternative
2007-03-27 14:27 <DIR> d-------- C:\Programme\Media Player Classic
2007-03-27 14:27 <DIR> d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\Real
2007-03-27 14:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Real
2007-03-24 16:42 16,128 --a------ C:\WINDOWS\system32\drivers\UDTT2HID.sys
2007-03-23 10:24 <DIR> d-------- C:\Programme\Notepad_ex
2007-03-23 10:24 <DIR> d-------- C:\Programme\Dexpot
2007-03-23 10:24 <DIR> d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\Dexpot
2007-03-21 15:35 6 --a------ C:\WINDOWS\AExpou.dat
2007-03-21 15:35 4 --a------ C:\WINDOWS\AErroru.dat
2007-03-21 15:35 30,720 --a------ C:\WINDOWS\AWhiteu12.dat
2007-03-21 15:35 30,720 --a------ C:\WINDOWS\ADarku12.dat
2007-03-21 15:35 3 --a------ C:\WINDOWS\Gain6.dat
2007-03-21 15:35 3 --a------ C:\WINDOWS\AOffsetu.dat
2007-03-20 15:46 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Azureus
2007-03-20 15:01 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-03-20 15:00 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-03-20 15:00 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-03-20 14:53 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-03-20 14:51 <DIR> d-------- C:\WINDOWS\network diagnostic
2007-03-20 14:49 <DIR> d-------- C:\Programme\MSXML 4.0
2007-03-17 02:28 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-03-15 23:25 <DIR> d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\Lavasoft
2007-03-15 23:23 <DIR> d-------- C:\Programme\Lavasoft
2007-03-11 09:54 2,936,832 --a------ C:\WINDOWS\system32\MA2_6.scr
2007-03-11 09:54 <DIR> d-------- C:\Programme\SereneScreen


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-06 11:24 48708 --a------ C:\WINDOWS\system32\evbgubgv.dll
2007-04-06 11:15 -------- d-------- C:\Programme\trillian
2007-04-06 11:15 -------- d-------- C:\Programme\the bat!
2007-04-06 11:14 -------- d-------- C:\Programme\mirc
2007-04-06 11:04 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\skype
2007-04-05 21:35 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\azureus
2007-04-05 15:03 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\the bat!
2007-04-05 11:08 63976 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-05 11:08 391574 --a------ C:\WINDOWS\system32\perfh007.dat
2007-04-05 09:36 -------- d-------- C:\Programme\emule
2007-04-05 03:21 -------- d-------- C:\Programme\logmein
2007-04-03 08:52 -------- d-------- C:\Programme\opera
2007-04-02 16:46 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\openoffice.org2
2007-04-01 22:01 -------- d-------- C:\Programme\file server
2007-04-01 12:55 -------- d-------- C:\Programme\starmoney 5.0
2007-03-28 12:33 -------- d-------- C:\Programme\the kmplayer
2007-03-17 16:23 -------- d--h----- C:\Programme\installshield installation information
2007-03-15 23:23 -------- d-------- C:\Programme\Gemeinsame Dateien\wise installation wizard
2007-03-02 16:05 -------- d-------- C:\Programme\Gemeinsame Dateien\nero
2007-03-02 14:59 -------- d-------- C:\Programme\screamer radio
2007-03-01 23:07 3088 --ahs---- C:\WINDOWS\system32\kgygaavl.sys
2007-02-28 15:21 73728 --a------ C:\WINDOWS\alcfdrtm.exe
2007-02-27 16:42 -------- d-------- C:\Programme\maxplus2
2007-02-27 16:15 -------- d-------- C:\Programme\max2work
2007-02-27 16:15 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\help
2007-02-27 16:11 -------- d-------- C:\Programme\ti education
2007-02-27 16:01 -------- d-------- C:\Programme\Gemeinsame Dateien\bcgsoft
2007-02-27 15:58 -------- d-------- C:\Programme\national instruments
2007-02-27 15:56 -------- d-------- C:\Programme\electronics workbench
2007-02-27 15:46 -------- d-------- C:\Programme\phase5
2007-02-27 15:42 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2007-02-27 15:42 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\corel
2007-02-27 15:41 -------- d-------- C:\Programme\Gemeinsame Dateien\corel
2007-02-27 15:41 -------- d-------- C:\Programme\corel
2007-02-27 15:37 -------- d-------- C:\Programme\aom
2007-02-27 15:28 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\opera
2007-02-27 15:20 -------- d-------- C:\Programme\smartftp client 2.0
2007-02-27 15:20 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\smartftp
2007-02-27 14:45 -------- d-------- C:\Programme\pc vga camera
2007-02-27 14:45 -------- d-------- C:\Programme\Gemeinsame Dateien\pccamera
2007-02-27 14:24 -------- d-------- C:\Programme\alcohol soft
2007-02-27 14:18 639224 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-02-27 13:16 -------- d-------- C:\Programme\java
2007-02-27 13:16 -------- d-------- C:\Programme\fantastic-bits
2007-02-27 12:50 -------- d-------- C:\Programme\openoffice.org 2.1
2007-02-27 12:50 -------- d-------- C:\Programme\openoffice.org 2.0
2007-02-27 12:43 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\sun
2007-02-27 11:43 1502 --a------ C:\WINDOWS\ctrunonce.reg
2007-02-27 11:43 -------- d-------- C:\Programme\creative
2007-02-27 11:06 -------- d-------- C:\Programme\microsoft activesync
2007-02-27 11:06 -------- d-------- C:\Programme\common files
2007-02-27 11:06 -------- d-------- C:\Programme\avantgo connect
2007-02-27 10:48 -------- d-------- C:\Programme\quicktime
2007-02-27 10:42 -------- d-------- C:\Programme\skype
2007-02-27 10:42 -------- d-------- C:\Programme\Gemeinsame Dateien\skype
2007-02-27 10:35 -------- d-------- C:\Programme\tuneup utilities 2007
2007-02-27 01:15 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\spampal
2007-02-27 01:15 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\~the bat!
2007-02-27 01:14 -------- d-------- C:\Programme\spampal
2007-02-27 01:13 -------- d-------- C:\Programme\bayes filter plugin
2007-02-27 01:02 -------- d-------- C:\Programme\irfanview
2007-02-27 00:35 -------- d-------- C:\Programme\progdvb
2007-02-27 00:33 -------- d-------- C:\Programme\tv-browser
2007-02-27 00:32 -------- d-------- C:\Programme\encoder4mce
2007-02-27 00:22 0 --a------ C:\WINDOWS\nsreg.dat
2007-02-27 00:07 -------- d-------- C:\Programme\process explorer
2007-02-27 00:02 -------- d-------- C:\Programme\canon
2007-02-26 23:43 2321408 --a------ C:\WINDOWS\system32\tukernel.exe
2007-02-26 23:40 -------- d-------- C:\DOKUME~1\SEBAST~1\ANWEND~1\tuneup software
2007-02-26 23:26 -------- d-------- C:\Programme\messenger
2007-02-26 23:16 -------- d-------- C:\Programme\ati technologies
2007-02-26 18:39 -------- d-------- C:\Programme\alwil software
2007-02-26 18:26 -------- d-------- C:\Programme\cyberlink
2007-02-26 18:25 -------- d-------- C:\Programme\synaptics
2007-02-26 18:25 -------- d-------- C:\Programme\realtek
2007-02-26 18:24 -------- d-------- C:\Programme\via
2007-02-26 18:24 -------- d-------- C:\Programme\intel
2007-02-26 18:15 -------- d-------- C:\Programme\microsoft frontpage
2007-02-26 18:15 -------- d-------- C:\Programme\Gemeinsame Dateien\java
2007-02-26 18:12 0 -rahs---- C:\MSDOS.SYS
2007-02-26 18:12 0 -rahs---- C:\IO.SYS
2007-02-26 18:12 0 --a------ C:\CONFIG.SYS
2007-02-26 18:12 0 --a------ C:\AUTOEXEC.BAT
2007-02-26 18:11 -------- d--h----- C:\Programme\windowsupdate
2007-02-26 18:11 -------- d-------- C:\Programme\online-dienste
2007-02-26 18:10 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-02-26 18:10 -------- d-------- C:\Programme\movie maker
2007-02-26 18:10 -------- d-------- C:\Programme\Gemeinsame Dateien\mssoap
2007-02-26 18:10 -------- d-------- C:\Programme\Gemeinsame Dateien\dienste
2007-02-26 18:09 -------- d-------- C:\Programme\windows nt
2007-02-26 18:09 -------- d-------- C:\Programme\msn gaming zone
2007-02-26 18:02 62 --ahs---- C:\DOKUME~1\SEBAST~1\ANWEND~1\desktop.ini
2007-02-26 18:02 -------- d-------- C:\Programme\Gemeinsame Dateien\speechengines
2007-02-26 18:02 -------- d-------- C:\Programme\Gemeinsame Dateien\odbc
2007-01-15 19:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe
2007-01-15 19:23 90112 --a------ C:\WINDOWS\system32\avastss.scr


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2007\\MemOptimizer.exe\" autostart"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"SoundMan"="SOUNDMAN.EXE"
"AlcWzrd"="ALCWZRD.EXE"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"InstantOn"="\"C:\\Program Files\\CyberLink\\PowerCinema Linux\\ion_install.exe\" /c"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"CTSysVol"="C:\\Programme\\Creative\\SBLive 24-Bit External\\Surround Mixer\\CTSysVol.exe /r"
"SbUsb AudCtrl"="RunDll32 sbusbdll.dll,RCMonitor"
"LogMeIn GUI"="\"C:\\Programme\\LogMeIn\\LogMeInSystray.exe\""
"ISUSPM Startup"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\isuspm.exe\" -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HDAShCut"
"hkey"="HKLM"
"command"="HDAShCut.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="raid_tool"
"hkey"="HKLM"
"command"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sm56hlpr"
"hkey"="HKLM"
"command"="sm56hlpr.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="yrvsmjre"
"hkey"="HKLM"
"command"="rundll32.exe \"C:\\WINDOWS\\system32\\yrvsmjre.dll\",setvm"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"niSvcLoc"=dword:00000002
"NIDomainService"=dword:00000002
"lkTimeSync"=dword:00000002
"lkClassAds"=dword:00000002
"LkCitadelServer"=dword:00000002


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A416D604-EAA3-4618-958C-2ECA22414616}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"GreyMSIAds"=dword:00000001
"NoLowDiskSpaceChecks"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxutsq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtutr

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Weekly start 2007-02-27 2110-2215 065 [Di] RTL_______ Dr_House.job
C:\WINDOWS\tasks\Weekly start 2007-02-27 2215-2315 060 [Di] RTL_______ Monk.job
C:\WINDOWS\tasks\Weekly start 2007-03-01 0150-0250 060 [Do] Vox_______ Boston_Legal.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-06 11:25:04
C:\ComboFix-quarantined-files.txt ... 07-04-06 11:25


Verzeichnis von C:\WINDOWS\system32

06.04.2007 11:33 512.872 rtutv.ini
06.04.2007 11:24 48.708 evbgubgv.dll
06.04.2007 11:18 1.633.787 twhyyfkd.ini
06.04.2007 11:17 2.206 wpa.dbl
06.04.2007 10:10 123.972 dkfyyhwt.dll
06.04.2007 10:10 511.238 rtutv.bak2
05.04.2007 11:08 380.684 perfh009.dat
05.04.2007 11:08 391.574 perfh007.dat
05.04.2007 11:08 63.976 perfc007.dat
05.04.2007 11:08 53.098 perfc009.dat
05.04.2007 11:08 897.954 PerfStringBackup.INI
05.04.2007 10:14 15.360 BASSMOD.dll
05.04.2007 10:13 1.633.745 erjmsvry.ini
05.04.2007 10:10 502.651 rtutv.bak1
05.04.2007 10:10 353 oqstv.ini
05.04.2007 10:09 280.676 vtutr.dll
05.04.2007 10:09 280.676 vtsqo.dll
05.04.2007 10:01 26.694 jkklkjj.dll
05.04.2007 10:00 26.694 mljihif.dll
05.04.2007 10:00 26.694 rqrsstt.dll
05.04.2007 09:58 26.694 byxutsq.dll
24.03.2007 13:36 1.080 settingsbkup.sfm
24.03.2007 13:36 1.080 settings.sfm
20.03.2007 15:06 23.392 nscompat.tlb
20.03.2007 15:06 16.832 amcompat.tlb
18.03.2007 18:39 194.568 FNTCACHE.DAT
07.03.2007 22:36 12.619.736 MRT.exe
01.03.2007 23:07 3.088 KGyGaAvL.sys
28.02.2007 15:21 146.650 BuzzingBee.wav
28.02.2007 15:21 940.794 LoopyMusic.wav
27.02.2007 13:16 8.775 jupdate-1.5.0_09-b01.log


Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp

06.04.2007 11:25 0 WCESCOMM.LOG
06.04.2007 11:18 16.384 Perflib_Perfdata_a38.dat
06.04.2007 11:18 16.384 Perflib_Perfdata_f30.dat
3 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 41.764.982.784 Bytes frei[/code] [code]Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54BE-FEA1

Verzeichnis von C:\WINDOWS

06.04.2007 00:17 69 NeroDigital.ini
05.04.2007 18:00 2.298 AUSBA2.INI
05.04.2007 18:00 11.360 DUSB2AR.INI
05.04.2007 11:19 366 win.ini
05.04.2007 11:19 227 system.ini
05.04.2007 11:04 0 0.log
05.04.2007 11:04 159 wiadebug.log
05.04.2007 11:04 809.421 WindowsUpdate.log
05.04.2007 11:03 50 wiaservc.log
05.04.2007 11:03 2.048 bootstat.dat
05.04.2007 11:02 28.752 SchedLgU.Txt
02.04.2007 16:47 815.754 setupapi.log
31.03.2007 14:52 2.096 ModemLog_Motorola SM56 Data Fax Modem.txt
21.03.2007 15:35 4 AErroru.dat
21.03.2007 15:35 30.720 AWhiteu12.dat
21.03.2007 15:35 33 BadPixelInfo.txt
21.03.2007 15:35 30.720 ADarku12.dat
21.03.2007 15:35 3 AOffsetu.dat
21.03.2007 15:35 3 Gain6.dat
21.03.2007 15:35 6 AExpou.dat


Verzeichnis von C:\WINDOWS\Temp

05.04.2007 11:03 16.384 Perflib_Perfdata_1c4.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 41.764.970.496 Bytes frei

Verzeichnis von C:\WINDOWS\Downloaded Program Files

Verzeichnis von C:\

06.04.2007 11:34 0 sys.txt
06.04.2007 11:34 541 down.txt
06.04.2007 11:34 289 tmp.txt
06.04.2007 11:34 10.961 system.txt
06.04.2007 11:33 420 systemtemp.txt
06.04.2007 11:33 107.444 system32.txt
06.04.2007 11:33 15.398 ComboFix.txt
06.04.2007 11:25 283 ComboFix-quarantined-files.txt
05.04.2007 11:19 389 boot.ini
05.04.2007 11:03 1.073.139.712 hiberfil.sys
05.04.2007 11:03 1.610.612.736 pagefile.sys
27.02.2007 12:44 1.024 .rnd
26.02.2007 18:12 0 AUTOEXEC.BAT
26.02.2007 18:12 0 MSDOS.SYS
26.02.2007 18:12 0 CONFIG.SYS
26.02.2007 18:12 0 IO.SYS


Mfg Demidrin

#4 Demidrin

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{A416D604-EAA3-4618-958C-2ECA22414616}

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxutsq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtutr

Files to delete:
C:\WINDOWS\system32\rtutv.ini
C:\WINDOWS\system32\evbgubgv.dll
C:\WINDOWS\system32\twhyyfkd.ini
C:\WINDOWS\system32\dkfyyhwt.dll
C:\WINDOWS\system32\rtutv.bak2
C:\WINDOWS\system32\erjmsvry.ini
C:\WINDOWS\system32\rtutv.bak1
C:\WINDOWS\system32\oqstv.ini
C:\WINDOWS\system32\vtutr.dll
C:\WINDOWS\system32\vtsqo.dll
C:\WINDOWS\system32\jkklkjj.dll
C:\WINDOWS\system32\mljihif.dll
C:\WINDOWS\system32\rqrsstt.dll
C:\WINDOWS\system32\byxutsq.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne. lasse alles gefundene loeschen + poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Beim Avenger frierte Windows beim Neustart ein.

Nach einem Reset, kam von Avenger folgende Log:

Code

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\b^fitxcq

*******************


Fatal error:  integrity of Services key failed verification check!  Security may be fatally compromised.  Exiting immediately.

Could not open script file!  Status: 0xc0000034  Abort!

Ich versuch den Avenger Schritt noch einmal durchzuführen.

Mfg Demidrin

P.S.: Beim zweiten Versuch war Avenger erfolgreich. Gehe weiter zu Schritt drei.

#6

Zitat

Gehe weiter zu Schritt drei.

lasse alles loeschen + poste de report
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Sorry, hat etwas gedauert, bis ich den Schritt machen konnte, da ich noch weg war.

--------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

:mozilla.958:C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\5veo0vki.default\cookies-1.txt -> TrackingCookie.Zedo : Gesäubert.
:mozilla.959:C:\Dokumente und Einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\5veo0vki.default\cookies-1.txt -> TrackingCookie.Zedo : Gesäubert.

EDIT


::Berichtende

#8 poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Oki, doki... Aber diesmal reicht glaub ich der aktuelle Monat, oder?

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 54BE-FEA1

 Verzeichnis von C:\WINDOWS\system32

07.04.2007  16:30            15.360 BASSMOD.dll
06.04.2007  15:52             2.206 wpa.dbl
06.04.2007  15:38           380.684 perfh009.dat
06.04.2007  15:38            53.098 perfc009.dat
06.04.2007  15:38           391.574 perfh007.dat
06.04.2007  15:38            63.976 perfc007.dat
06.04.2007  15:38           897.954 PerfStringBackup.INI
06.04.2007  15:19           194.568 FNTCACHE.DAT
06.04.2007  11:55               143 mcrh.tmp

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 54BE-FEA1

 Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp

07.04.2007  10:34            25.232 wcesmgr.log
07.04.2007  10:34             1.426 outstore.log
07.04.2007  10:34             2.513 WCESCOMM.LOG
06.04.2007  15:55               510 jusched.log
06.04.2007  15:51            16.384 Perflib_Perfdata_3e8.dat
06.04.2007  15:50            16.384 Perflib_Perfdata_718.dat
06.04.2007  15:31            32.768 ~DF7C5D.tmp
06.04.2007  15:25            32.768 ~DF1927.tmp
06.04.2007  15:22            16.384 Perflib_Perfdata_d54.dat
06.04.2007  15:22            16.384 Perflib_Perfdata_e10.dat
              10 Datei(en)        160.753 Bytes
               0 Verzeichnis(se), 41.058.295.808 Bytes frei

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 54BE-FEA1

 Verzeichnis von C:\WINDOWS

06.04.2007  15:51                 0 0.log
06.04.2007  15:51           851.616 WindowsUpdate.log
06.04.2007  15:51               159 wiadebug.log
06.04.2007  15:51                50 wiaservc.log
06.04.2007  15:50             2.048 bootstat.dat
06.04.2007  15:49            30.420 SchedLgU.Txt
06.04.2007  15:38             1.818 shqvrvnf.txt
06.04.2007  15:17            86.277 iis6.log
06.04.2007  15:17           215.155 tsoc.log
06.04.2007  15:17           120.506 ntdtcsetup.log
06.04.2007  15:17             1.355 imsins.log
06.04.2007  15:17           193.241 comsetup.log
06.04.2007  15:17            29.205 ocmsn.log
06.04.2007  15:17            54.312 KB925902.log
06.04.2007  15:17           277.320 ocgen.log
06.04.2007  15:17            28.013 msgsocm.log
06.04.2007  15:17           548.102 FaxSetup.log
06.04.2007  15:17           842.625 setupapi.log
06.04.2007  15:17            64.629 updspapi.log
06.04.2007  15:17             1.355 imsins.BAK
06.04.2007  15:17            33.556 KB929399.log
06.04.2007  15:17            30.387 KB928090-IE7.log
06.04.2007  15:16            67.058 KB929969.log
06.04.2007  00:17                69 NeroDigital.ini
05.04.2007  18:00             2.298 AUSBA2.INI
05.04.2007  18:00            11.360 DUSB2AR.INI
05.04.2007  11:19               366 win.ini
05.04.2007  11:19               227 system.ini

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 54BE-FEA1

 Verzeichnis von C:\WINDOWS\Temp

06.04.2007  15:52               409 WGANotify.settings
06.04.2007  15:50            16.384 Perflib_Perfdata_630.dat
06.04.2007  15:50               255 WGAErrLog.txt
06.04.2007  15:31            16.384 Perflib_Perfdata_2f0.dat
06.04.2007  15:20            16.384 Perflib_Perfdata_21c.dat
               5 Datei(en)         49.816 Bytes
               0 Verzeichnis(se), 41.058.283.520 Bytes frei

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 54BE-FEA1

 Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.02.2007  18:11                65 desktop.ini
09.11.2006  15:36             5.019 swflash.inf
11.08.2005  17:30           417.792 isusweb.dll
26.05.2005  05:19               291 wuweb.inf
25.07.2002  19:13            24.576 dwusplay.dll
25.07.2002  19:13           196.608 dwusplay.exe
               6 Datei(en)        644.351 Bytes
               0 Verzeichnis(se), 41.058.250.752 Bytes frei

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 54BE-FEA1

 Verzeichnis von C:\

07.04.2007  16:31                 0 sys.txt
07.04.2007  16:31               541 down.txt
07.04.2007  16:31               520 tmp.txt
07.04.2007  16:31            11.165 system.txt
07.04.2007  16:31               790 systemtemp.txt
07.04.2007  16:31           106.810 system32.txt
06.04.2007  15:50     1.073.139.712 hiberfil.sys
06.04.2007  15:50     1.610.612.736 pagefile.sys
05.04.2007  11:19               389 boot.ini

#10
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\mcrh.tmp

poste noch mal das 1.log von datfindbat (bis Februar 2007)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Beim Avenger ausführen ist beim Neustart zwar mein Explorer abgestürzt, war aber trotzdem erfolgreich:

Code

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 54BE-FEA1

 Verzeichnis von C:\WINDOWS\system32

07.04.2007  19:44             2.206 wpa.dbl
07.04.2007  17:24            24.064 winpol.exe
07.04.2007  16:30            15.360 BASSMOD.dll
06.04.2007  15:38           380.684 perfh009.dat
06.04.2007  15:38            53.098 perfc009.dat
06.04.2007  15:38           391.574 perfh007.dat
06.04.2007  15:38            63.976 perfc007.dat
06.04.2007  15:38           897.954 PerfStringBackup.INI
06.04.2007  15:19           194.568 FNTCACHE.DAT
24.03.2007  13:36             1.080 settingsbkup.sfm
24.03.2007  13:36             1.080 settings.sfm
20.03.2007  15:06            23.392 nscompat.tlb
20.03.2007  15:06            16.832 amcompat.tlb
08.03.2007  17:36           281.600 gdi32.dll
08.03.2007  17:36            40.960 mf3216.dll
08.03.2007  17:36           579.072 user32.dll
08.03.2007  17:32         1.843.712 win32k.sys
07.03.2007  22:36        12.619.736 MRT.exe
01.03.2007  23:07             3.088 KGyGaAvL.sys
28.02.2007  15:21           940.794 LoopyMusic.wav
28.02.2007  15:21           146.650 BuzzingBee.wav
27.02.2007  13:16             8.775 jupdate-1.5.0_09-b01.log
27.02.2007  10:48             3.778 qtplugin.log
26.02.2007  23:43         2.321.408 TUKernel.exe
26.02.2007  23:31           122.142 TZLog.log
26.02.2007  18:57             3.002 CONFIG.NT
26.02.2007  18:17               237 $winnt$.inf
26.02.2007  18:11               488 WindowsLogon.manifest
26.02.2007  18:11               488 logonui.exe.manifest
26.02.2007  18:11               749 sapi.cpl.manifest
26.02.2007  18:11               749 wuaucpl.cpl.manifest
26.02.2007  18:11               749 cdplayer.exe.manifest
26.02.2007  18:11               749 nwc.cpl.manifest
26.02.2007  18:11               749 ncpa.cpl.manifest
26.02.2007  18:10            21.740 emptyregdb.dat
26.02.2007  18:07                 0 h323log.txt
15.02.2007  19:01           337.280 WgaTray.exe
15.02.2007  19:01         1.476.992 LegitCheckControl.dll
15.02.2007  19:00           236.928 WgaLogon.dll

#12 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\winpol.exe

poste den report hier

_______________________________________________

Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\winpol.exe

__________
MfG Sabina

rund um die PC-Sicherheit

#13 Das kam dabei raus:

Complete scanning result of "winpol.exe", received in VirusTotal at 04.07.2007, 20:52:19 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.7.0 04.06.2007 no virus found
AntiVir 7.3.1.48 04.07.2007 HEUR/Malware
Authentium 4.93.8 04.06.2007 no virus found
Avast 4.7.936.0 04.06.2007 no virus found
AVG 7.5.0.447 04.07.2007 no virus found
BitDefender 7.2 04.07.2007 Generic.Malware.SFN!dldg.E38FB116
CAT-QuickHeal 9.00 04.06.2007 no virus found
ClamAV devel-20070312 04.07.2007 no virus found
DrWeb 4.33 04.07.2007 WIN.WORM.Virus
eSafe 7.0.15.0 04.07.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3549 04.06.2007 no virus found
Ewido 4.0 04.07.2007 no virus found
FileAdvisor 1 04.07.2007 no virus found
Fortinet 2.85.0.0 04.07.2007 W32/Tibs.gen
F-Prot 4.3.1.45 04.04.2007 no virus found
F-Secure 6.70.13030.0 04.07.2007 W32/Malware
Ikarus T3.1.1.3 04.07.2007 no virus found
Kaspersky 4.0.2.24 04.07.2007 no virus found
McAfee 5003 04.06.2007 New Malware.b
Microsoft 1.2405 04.07.2007 no virus found
NOD32v2 2172 04.07.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 04.05.2007 W32/Malware
Panda 9.0.0.4 04.07.2007 Suspicious file
Prevx1 V2 04.07.2007 no virus found
Sophos 4.16.0 04.06.2007 Mal/Basine-A
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.07.2007 no virus found
TheHacker 6.1.6.085 04.04.2007 no virus found
VBA32 3.11.3 04.06.2007 suspected of Trojan-PSW.Pinch.47 (paranoid heuristics)
VirusBuster 4.3.7:9 04.07.2007 no virus found
Webwasher-Gateway 6.0.1 04.07.2007 Heuristic.Malware

Aditional Information
File size: 24064 bytes
MD5: b415f26a73b9f7fe4657b0d2b2a2ef15
SHA1: fb16726837e420c41dbafc4d173d7dc4969f1b0e
packers: UPX
packers: UPX
packers: UPX
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Decompressing UPX.
* File length: 24064 bytes.

[ Process/window information ]
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.
------------------------------------------------------------------------

Hört das denn nie auf... *seufz* Mache mal mit Avenger weiter...

Mfg Demidrin

P.S.: Datei mit Avenger erfolgreich entfernt.

#14 ««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Und die nächste Log:

Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 233540 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 23:11:01, System date 07 April 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Could not check C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Homepage\Backup 22.August.06\httpdocs\fh\xxMd5z\Semester_3\Atomspektroskopie_o3.doc (corrupt)
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Praktikum\Versuch 1\Vektoren_(f�r_den_Versuch_1).pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Vorlesung\A_Zahlensysteme_Bool_Relais-Gatter.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Vorlesung\B_Schaltnetze.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Vorlesung\C_Flip_Flops_Register.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Vorlesung\D_Zaehler.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Vorlesung\E_Automaten.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Vorlesung\F_Hasards.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Vorlesung\G_MOSFET_CMOS_NMOS.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\DT 1\Vorlesung\H_Kenngroessen.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\USB\DT 1\Praktikum\Versuch 1\Vektoren_(f�r_den_Versuch_1).pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\USB\DT 1\Vorlesung\A_Zahlensysteme_Bool_Relais-Gatter.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\USB\DT 1\Vorlesung\B_Schaltnetze.pdf
Password protected file C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\Studium\Semester 1\USB\DT 1\Vorlesung\C_Flip_Flops_Register.pdf
>>> Virus 'Mal/Basine-A' found in file C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\1161.exe
Removal successful
Could not open C:\hiberfil.sys
>>> Virus 'Mal/HckPk-A' found in file C:\System Volume Information\_restore{F8978D36-952D-45D1-ACAB-005C7E970826}\RP40\A0005174.exe
Removal successful
Aborted checking C:\System Volume Information\_restore{F8978D36-952D-45D1-ACAB-005C7E970826}\RP48\A0006684.exe - appears to be a 'zip bomb'
>>> Virus 'Mal/Basine-A' found in file C:\System Volume Information\_restore{F8978D36-952D-45D1-ACAB-005C7E970826}\RP76\A0010726.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{F8978D36-952D-45D1-ACAB-005C7E970826}\RP76\A0010764.exe
Removal successful
Could not check C:\WINDOWS\$hf_mig$\KB919007\SP2QFE\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\dllcache\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\drivers\rmcast.sys (virus scan failed)
Could not open C:\WINDOWS\system32\drivers\sptd.sys

1 boot sector swept.
31675 files swept in 34 minutes and 19 seconds.
20 errors were encountered.
4 viruses were discovered.
4 files out of 31675 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
13 encrypted files were not checked.
Ending Sophos Anti-Virus.


P.S.:
Ist eigentlich die AVG Internet Security 7.5 zu empfehlen?
Ich suche noch nach einer guten, aber vorallem auch Ressourcen-sparenden Lösung... Kann ruhig auch was kosten, dass ist es mir wert...